można jeszcze inaczej
robisz taki config:

config 'dnsmasq'
        option 'domainneeded' '1'
        option 'boguspriv' '1'
        option 'filterwin2k' '0'
        option 'localise_queries' '1'
        option 'rebind_protection' '1'
        option 'rebind_localhost' '0'
        option 'local' '/lan/'
        option 'domain' 'lan'
        option 'expandhosts' '1'
        option 'nonegcache' '0'
        option 'authoritative' '1'
        option 'readethers' '1'
        option 'leasefile' '/tmp/dhcp.leases'
        option 'resolvfile' '/tmp/resolv.conf.auto'
        option 'dhcphostsfile' '/etc/dhcp.hosts'

config 'dhcp' 'lan'
        option 'interface' 'lan'
        option 'start' '100'
        option 'limit' '150'
        option 'leasetime' '12h'
        option 'options' '-O tag:lan2,3,192.168.2.1'

config 'dhcp' 'wan'
        option 'interface' 'wan'
        option 'ignore' '1'

potem tworzysz plik
/etc/dhcp.host i definiujesz w każdym wierszu oddzilenie hosta tak jak orginalnie w pliku dnsmasq.conf czyli

12:34:56:78:92:12,192.168.1.172
12:34:56:78:92:13,192.168.1.173
12:34:56:78:92:14,set:lan2,192.168.1.174
12:34:56:78:92:15,set:lan2,192.168.1.175

i też powinno być ok

ta ostatnia konfiguracja jakby zadziałała jest najfajniejsza bo nie zaśmiecamy linii uruchomienia dnsmasq  i mamy wszystko w jednym pliku

acha na wiki jest błąd bo opcja na wiki opisana jest jako hostfile ale w konfigu zdefiniowali ją jako dhcphostfile nie wiem czy to literówka czy tak ma być ale w backfire tak jest
wtedy log mamy taki

-K -D -y -Z -b -E -s lan -S /lan/ -l /tmp/dhcp.leases -r /tmp/resolv.conf.auto --dhcp-hostsfile=/etc/dhcp.hosts --stop-dns-rebind --dhcp-range=lan,192.168.1.100,192.168.1.250,255.255.255.0,12h -O tag:lan2,3,192.168.2.1 -O lan,3,192.168.1.1 -2 'pppoa-wan'

jeszcze jedna uwaga co do opcji dhcphostsfile. Najfajniejsze w tym jest to że możesz bez problemu dodawać hosty do tego pliku w każdym momencie i NIE MUSISZ restartować dnsmasq. On czyta plik za każdym razem kiedy uzyska sygnał SIGHUP
czyli patrzysz jaki pid ma dnsmasq w ps ax
a potem komenda

kill -s SIGHUP 5109

gdzie 5109 to nasz pid dnsmasq

Ps. To co tu opisałem działa właśnie przetestowałem i w zależności czy ktoś ma przypisany tak czy nie dostaje inny router

Mała uwaga do powyższego dla potomnych
w takiej konfiguracji co chcemy uzyskać nie wolno użyć opcji z openwrt dhcp_options. Jak jej użyjemy w ogóle nasze tagi nie będą brane pod uwagę. Jak chcemy mieć np. trzy routery to piszemy TYLKO jedną linię np.:

option 'options' '-O tag:lan2,3,192.168.2.1 -O tag:lan3,3,192.168.3.1 -O tag:lan4,3,192.168.4.1'

wtedy będzie działać jak należy
w wolnej chwili zrobię z tego arta

konfiguracja:

config 'dhcp' 'lan'
        option 'interface' 'lan'
        option 'start' '100'
        option 'limit' '50'
        option 'leasetime' '12h'
        option 'dhcp_option' '3,192.168.1.1'
        option 'options' '--dhcp-range=tag:lan2,192.168.1.151,192.168.1.200,255.255.255.0,12h -O tag:lan2,3,192.168.2.1 -G 12:34:56:78:92:12,set:lan2,192.168.1.170'

config 'dhcp' 'wan'
        option 'interface' 'wan'
        option 'ignore' '1'


config 'host'
    option 'mac' '00:11:22:33:44:55'
    option 'ip' '192.168.1.11'

config 'host'
    option 'mac' '00:11:22:33:44:56'

daje nam w efekcie
logi:

Sep 16 22:43:25 OpenWrt daemon.info dnsmasq-dhcp[4829]: DHCP, IP range 192.168.1.151 -- 192.168.1.200, lease time 12h
Sep 16 22:43:25 OpenWrt daemon.info dnsmasq-dhcp[4829]: DHCP, IP range 192.168.1.100 -- 192.168.1.150, lease time 12h

czyli  na razie ok

oraz

-K -D -y -Z -b -E -s lan -S /lan/ -l /tmp/dhcp.leases -r /tmp/resolv.conf.auto --stop-dns-rebind --dhcp-host=00:11:22:33:44:55,192.168.1.11 --dhcp-host=00:11:22:33:44:56,192.168.1.12 --dhcp-range=lan,192.168.1.100,192.168.1.150,255.255.255.0,12h --dhcp-range=tag:lan2,192.168.1.151,192.168.1.200,255.255.255.0,12h -O tag:lan2,3,192.168.2.1 -G 12:34:56:78:92:12,set:lan2,192.168.1.170 -O lan,3,192.168.1.1 -2 'pppoa-wan'

czyli niby ok
ale czy zadziała sprawdź sam i daj znać to howto napiszę

zresztą sobie to zasymulowałem
/etc/config/dhcp wygląda

config dhcp lan
    option interface    lan
    option start     100
    option limit    150
    option leasetime    12h

config dhcp wan
    option interface    wan
    option ignore    1

config dhcp lan2
        option interface        lan
        option start    151
        option limit    200
        option leasetime        12h

w wyniku tego w logach mam

Jan  2 00:58:45 OpenWrt daemon.info dnsmasq-dhcp[3839]: DHCP, IP range 192.168.1.151 -- 192.168.1.254, lease time 12h
Jan  2 00:58:45 OpenWrt daemon.info dnsmasq-dhcp[3839]: DHCP, IP range 192.168.1.100 -- 192.168.1.250, lease time 12h

czyli czyta oddzielnie zakresy
ale już po analizie wywołania dnsmasq

-K -D -y -Z -b -E -s lan -S /lan/ -l /tmp/dhcp.leases -r /tmp/resolv.conf.auto --stop-dns-rebind --dhcp-range=lan,192.168.1.100,192.168.1.250,255.255.255.0,12h -2 'pppoa-wan' --dhcp-range=lan,192.168.1.151,192.168.1.254,255.255.255.0,12h

widać że oba zakresy wrzucił do  jednej sieci

zauważ co napisałeś

dhcp-range=tag:green,192.168.0.50,192.168.0.150,12h

network_id to twoje green który przypisany jest do zakresu adresów sieci 192.168.0.0/24
a aby był ten zakres sieci przydzielany musi istnieć taki interfejs z takim adresem w takiej sieci

W openwrt wygląda to tak że twoje green=lan

bo po kolei
host przypisany jest do network_id
network_id powiązane jest z range gdzie był wymieniony ten sam network_id
aby dnsmasq przydzielił nam ten zakres sieci musi wiedzieć na jaki interfejs wysłać pakiety dhcp więc i ten interfejs musi być w tej sieci z tym network_id

Jak nie masz takiego adresu ip to z kąd dnsmasq ma wiedzieć którym interfejsem wysłać pakiet dhcp do hosta ?

Jak masz linux to zainstaluj sobie dnsmasq i ręcznie zestaw swoją konfiguracje jaką chcesz uzyskać. Zobaczysz że będziesz miał krzyk że nie ma takiego interfejsu.
A czemu tak piszę bo to samo kiedyś pomyślałem co ty i chciałem to zrobić przy okazji arta o proxyarp i do takich wniosków doszedłem robiąc sobie konfigurację ręcznie pod debianem z stąd wiem. Zresztą to logiczne powiązanie zależności. Z tego co wiem w bindzie można uzyskać taką konfigurację ale ludziki też się namęczyli aby to zrobić.

no znam wive
wszystko ustawisz w plikach tekstowych - edytor vi się kłania. Z menu raczej mniej ale też się da z tego co pamiętam. Pliki tekstowe są przejrzyste i opisane.
niestety moje testy na br604g skończyły się po 2 dniach router się uwalił(nie z winy firmware tylko był już felerny)
ale pamiętam że wszystko chodziło nawet vlan na switchu
chciałem nawet zrobić małe howto ale cóż ...

bo się pomyliłem. Tyle zmieniłem że przecholowałem. Dokument dość znacznie przerobiłem w tygodniu bo są duże zmiany.
Dlaczego nie działa
Przy SNAT nie podaje się numeru portu tylko DNAT ma port docelowy
Jeśli użyje się w SNAT port pakiety idą tylko po tym porcie i dlatego nie banglało Tobie. W sumie w SNAT bardzo rzadko się używa portu a w zasadzie to ja nigdy nie miałem takiej potrzeby i nie widziałem nikogo kto by to uzywał

U mnie działa z linksys AG241v2 wedle opisu przekierowanie. Dziwne że działa telnet i pingi . Dziwne również że nie możesz dostać się z routera ale nie ważne
jak nie wiesz jakie porty to wal

iptables -t nat -I POSTROUTING --src 192.168.1.0/24 --dst 192.168.50.1 -j SNAT --to 192.168.50.2
iptables -I zone_lan_forward --src 192.168.1.0/24 --dst 192.168.50.1 -j ACCEPT

resztę załatwi RELATED i ESTABLISHED w FORWARD automatem

tu nie ma żadnej filozofii. Modem widzi połączenie jako adres ip z routera mimo że łączysz się z innej sieci i tyle zwykły SNAT
niemożność dostania się na modem pewnie nie przeskoczysz tego póki nie będziesz mógł z routera dostać się na router
a sprawdzałeś czy elinks potrafi logować się na router z innego linuxa ?

na wszelki wypadek jakby nie działało daj logi

route -n
ifconfig
iptables -L -v
iptables -t nat -L -v

Ps. Zerknołem na link podany przez cezarego. Wedle mnie też winien działać po aliasie co jow opisał bo MASQUERADE to SNAT inszo wedle mnie tam brakuje dopisania reguły FORWARD ACCEPT i dlatego nie wyszło z aliasem

nie będę się upierał bo już mnie zakrzyczeliście

chodziło mi o te sieczkę którą usunąłeś
@cezary: a czemu sterownik ethernetu blokuje możliwość dostępu poprzez RS ?

zmniejsz moc radia
iwconfig wlan0 txpower 15dBm
zobacz wtedy
jak zmniejszysz moc radia wtedy winno być czulsze
no i zostaw podłączone te dwie pozostałe antenki (boczne) bo w laptopie oprócz antenki zewnętrznej którą sam podłączyłeś masz również nadal wewnętrzną która nadal łapie sygnał a w tplink żeś zabrał te anteny

@cezary: czy ath9 ma opcje
option txantenna 2
option rxantenna 2
option diversity 1
???? to mogło by mu pomóc

zgłosiłem ticket. może kiedyś to uwzględnią